打造零信任數據中心需做好十件事

根據Resecurity對數據中心、云計算服務商的深入調研，數據中心最容易受到攻擊的媒介是數據中心服務器上運行的客戶支持、客戶服務和工單管理支持門戶。成功駐留的黑客可以獲得足夠的控制權來竊取數千條客戶記錄并泄露公司最機密的數據。

例如，黑客曾成功入侵亞洲最大的兩家數據中心運營商上海萬國數據控股有限公司和新加坡ST Telemedia全球數據中心，竊取了電子郵件、密碼等客戶數據。

打造零信任數據中心的關鍵方法

這些震驚全球的網絡安全事件讓人們意識到，數據中心的信任設計必須遵循最基本的零信任方法：假設數據中心已經被入侵，必須立即遏制和終止進一步的破壞，尤其是當沒有正確配置的本地數據中心擴展到云端時。

根據Venturebeat的調研，CIO和CISO打造“零信任數據中心”的關鍵方法是：以SASE（安全訪問服務邊緣）為基礎，以ZTNA（零信任網絡訪問）為核心。企業通過SASE大規模實施ZTNA來改善安全狀況，同時幫助鞏固數據中心和企業范圍的安全性。

每個CISO的SASE路線圖上都應該有SASE的一席之地。根據Gartner的預測，ZTNA將成為全球增長最快的網絡安全細分市場。預計2021年至2026年間，全球復合年增長率將達到27.5%，從6.33億美元增至21億美元。

Steward Health的CISO Esmond Kane認為：“從本質上講，SASE就是零信任。我們談論的是身份、認證、訪問控制和特權。以此為基礎再擴展。”

從管理角度來看，CIO和CISO在網絡安全方面的角色重疊，因此必須共享數據中心安全成果。Hitch Partners今年早些時候發布的一項針對650名企業安全高管的調查顯示，19%的上市公司和46%的私營公司中，CISO事實上同時擔任了CISO和CIO的雙重角色。

根據Foundry的《2023年CIO狀況研究》調查，越來越多的董事會正考慮將數據中心安全納入風險管理之中，88%的董事會現在將網絡安全視為一種商業風險。網絡安全已經超過云計算、物聯網和人工智能，成為推動2023年全球企業技術預算增長的最重要因素。

根據Foundry的報告，企業董事會也普遍支持在安全和風險管理上投入更多資金，進一步支持通過SASE和ZTNA框架強化保護數據中心。

零信任數據中心的十大安全要務

攻擊者并不缺乏已知的網絡安全漏洞，他們試圖在不被發現的情況下利用這些漏洞。從連接整個企業的數據中心的不安全網絡到依賴基于邊界安全的遺留系統，許多數據中心隨時可能發生數據泄露。

企業數據中心本來就存在很多漏洞，當企業將工作負載轉移到云端通常會進一步擴大攻擊面。其中混合多云平臺是風險最大、保護難度最大的平臺之一。那些安全能力較強的企業通常將數據中心網絡安全策略建立在經過驗證的框架上，其中SASE和ZTNA最為流行。

以下，是企業以SASE為基礎，以ZTNA為核心打造“零信任數據中心”的十大要務：

1.首先優先考慮身份安全，使用單點登錄(SSO)和多重身份驗證(MFA)

Forrester高級分析師Andrew Hewitt指出：“（零信任計劃）最佳起點始終是實施多因素身份驗證，從而幫助企業使用統一端點管理(UEM)工具維護可靠的合規性標準。”

2.讓審核訪問權限、刪除過時帳戶和審查管理權限成為企業的“肌肉記憶”

根據Ivanti的2023年網絡安全狀況報告，45%的企業認為，由于取消訪問的流程不一致或不存在，前員工和承包商仍然可以主動訪問公司系統和文件。取消配置的情況也很少發生，導致第三方應用程序仍然可以訪問數據。Ivanti首席產品官Srinivas Mukkamala表示：“大型組織往往無法有效管理由應用程序、平臺和第三方服務組成的龐大生態系統，員工離職后往往仍擁有訪問權限。”

3.考慮替換無法監控身份、角色和特權訪問憑證活動的過時IAM系統

長期用于保護網絡和數據中心的傳統IAM系統往往難以滿足管理當今大量新身份的需求。只能跟蹤跨角色的部分身份活動、特權訪問憑證的使用和實時使用的端點的IAM風險太大。此外，傳統IAM系統存在很多漏洞，攻擊者可以通過在暗網上懸賞來獲取金融服務的會計和財務系統的特權憑證。

4.微分段可以減少發生漏洞時數據中心的橫向移動和攻擊面

要成功部署支持ZTNA的SASE框架，需要首先假設數據中心已遭到入侵。防御者的目標是立即阻止攻擊者橫向移動并減少攻擊面威脅。

NIST的零信任框架優先考慮微分段和基于身份的治理、身份驗證以及網絡和端點安全管理。在北美市場，Airgap Networks、AlgoSec、ColorTokens、Illumio、Prisma Cloud和Zscaler的云平臺都紛紛使用微分段來盡早檢測和阻止攻擊嘗試。

5.跨端點和數據中心的實時資產管理是關鍵

CISO使用IT資產管理系統和平臺來查找和識別網絡設備、端點、相關資產和合同。將基于機器人的資產發現任務與AI和ML算法相結合，可提高IT資產管理的準確性和監控。

6.實時遙測數據可以延長端點生命周期，捕獲容易被錯過的入侵嘗試

端點安全需要實時端點遙測數據來檢測入侵和破壞。這些數據還有助于識別每個端點各個級別的硬件和軟件配置（文件、進程、注冊表、網絡連接和設備數據）。在北美市場，Absolute Software、BitDefender、CrowdStrike、Cisco、Ivanti和Microsoft Defender for Endpoint（保護Microsoft Azure中的端點數據）以及其他領先安全廠商已經開始使用實時遙測數據來生成端點分析。

CrowdStrike、ThreatConnect、Deep Instinct和Orca Security則使用實時遙測計算IOA和IOC。IOA可以識別攻擊者的意圖和目標。IOA和IOC常被用于提供網絡攻擊證據，因為自動化IOA可提供準確、實時的數據，以了解攻擊者的意圖并阻止入侵嘗試。

7.隨著數據中心端點分配的身份越來越多，需要對關鍵數字證書管理進行重點審核和改進

有效管理和保護機器對機器的通信需要每臺聯網設備對應一個唯一身份。端點上的身份越多，端點安全防護就越困難。

企業需要優先考慮使用密鑰和數字證書管理，例如為SSL、SSH密鑰、代碼簽名證書、TLS和身份驗證令牌來分配數字身份。由于網絡攻擊者經常繞過代碼簽名證書或破壞SSL和TLS證書來攻擊SSH密鑰，數據中心安全團隊必須確保每臺機器的身份準確、可靠且值得信賴。CheckPoint、Delinea、Fortinet、IBM Security、Ivanti、Keyfactor、Microsoft Security、Venafi和Zscaler是該領域的領先提供商。

8.數據中心端點需要能夠識別并自動化修復

大型企業的CISO往往需要管理五個甚至更多時區以外的數據中心。由于許多企業安全預算緊縮，派遣員工的成本過于高昂，許多廠商和企業用戶正在評積極估和部署自我修復端點，這些端點可以捕獲實時遙測數據并采取行動，在遭到入侵時進行自我重建，并且可以在必要時進行編程。

總之，縮小身份管理和端點安全之間的差距是零信任的未來，也是企業面臨的最大安全挑戰之一。

9.從端點開始，為每個數據中心威脅面部署基于風險的條件訪問

企業需要根據設備類型、設置、位置和異常行為，在最小權限訪問會話中啟用對應用程序、端點和系統的基于風險的訪問。實時風險評分由網絡安全供應商使用機器學習算法計算得出。CrowdStrike的Raina透露：“僅當風險級別發生變化時才會觸發MFA（多因素身份驗證），從而確保在不影響用戶生產力的情況下提供保護。”目前，北美市場提供基于風險的條件訪問的領先供應商包括CheckPoint、CrowdStrike、Fortinet、IBM Security、Ivanti、Microsoft Security、Venafi和Zscaler。

10.數據驅動的自動化補丁管理可大幅減少IT團隊工作量

大多數受訪的CISO表示，他們的IT團隊因項目和緊急請求而不堪重負，無法處理需要更新的設備庫存，這意味著大規模補丁管理需要數據驅動的新方法。

目前，全球領先的銀行、金融服務和制造企業，以及運行多個數據中心的CIO和CISO們正在采用人工智能和機器學習系統來更新數據中心數以千計的設備。該領域領先的供應商包括Broadcom、CrowdStrike、Ivanti、SentinelOne、McAfee、Sophos、Trend Micro、VMWare Carbon Black和Cybereason。

結論：CIO和CISO需要擰成一股繩

CIO和CISO需要合作定義統一的數據中心網絡安全策略。目前，許多企業的數據中心仍采用基于邊界的傳統安全防護。而選擇以SASE為基礎、以ZTNA為核心的戰略是當今許多銀行、保險和金融服務企業的發展方向。

攻擊者的速度比當今最高效的IT和安全運營團隊還要快。為了保護數據中心，CIO、CISO及其團隊必須首先從保護身份開始。上述“零信任數據中心”10大優先事項同時也是企業提升安全能力的路線圖。